LANCOM <-> FORTIGATE

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

LANCOM <-> FORTIGATE

Beitrag von vitaminc »

Habe einen VPN Tunnel zwischen Fortinet und Lancom
Der VPN Tunnel steht stabil.

Leider ist erheblicher Packet Drop im VPN Tunnel, ist zu sehen wenn ich jeweils ein Ziel auf der Gegenstelle anpinge.
Wenn ich die Public IP jeweils anpinge besteht kein Problem, es ist nur innerhalb des Tunnels.

Hat jemand ne Idee welche möglichen Ursachen das haben könnte?
Welchen Trace könnte ich auf der Seite Lancom starten?
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: LANCOM <-> FORTIGATE

Beitrag von MariusP »

Hi,
Von wo pingst du nach wo?
Sind alle Packete im vpn-packet trace zu sehen?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Benutzeravatar
HansWurst
Beiträge: 13
Registriert: 15 Feb 2018, 13:58
Wohnort: Osnabrück

Re: LANCOM <-> FORTIGATE

Beitrag von HansWurst »

Hallo vitaminc,

wie und wo siehst du denn dass Pakete gedropt werden?

Mit VPN-Packet siehst du was in den Tunnel geht.

Ich musste auch mal einen LC-Fortinet Tunnel bereitstellen. Das war ein totaler Krampf bis der endlich stand.

Dann liefer aber alles IO.

Gruß
Marc
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Re: LANCOM <-> FORTIGATE

Beitrag von vitaminc »

Wir pingen von beiden Seiten, also sowohl aus dem Netz hinter Lancom als auch aus dem Netz hinter Fortigate.
Bei beiden sieht man Packet drop.

Beispiel:
Reply from 10.172.1.164: bytes=32 time=27ms TTL=123
Reply from 10.172.1.164: bytes=32 time=25ms TTL=123
Request timed out.
Request timed out.
Reply from 10.172.1.164: bytes=32 time=33ms TTL=123
Reply from 10.172.1.164: bytes=32 time=25ms TTL=123
Reply from 10.172.1.164: bytes=32 time=26ms TTL=123
Reply from 10.172.1.164: bytes=32 time=27ms TTL=123
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Reply from 10.172.1.164: bytes=32 time=26ms TTL=123
Request timed out.
Request timed out.
Request timed out.
Reply from 10.172.1.164: bytes=32 time=26ms TTL=123
Reply from 10.172.1.164: bytes=32 time=26ms TTL=123
Reply from 10.172.1.164: bytes=32 time=25ms TTL=123
Reply from 10.172.1.164: bytes=32 time=25ms TTL=123

VPN-Packet Trace werde ich mir mal ansehen.
Danke.
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Re: LANCOM <-> FORTIGATE

Beitrag von vitaminc »

Wir kämpfen leider noch immer.

Das Verändern der MTU Size hat leider keinen Erfolg gebracht.
Wir haben nun die Encryption gesenkt, d.h. von SHA256 wieder auf SHA1.
Auch das hat keinen Erfolg gebracht.

Wir haben auch schon mit den Lifetimes gespielt, bislang auch ohne Erfolg.

Aus dem Fortigate-Protokoll lässt sich folgendes ermitteln:
IPsec ESP = esp_error

send INVALID-SPI af29dbee
enc 85713E862DD39FC6E4AF545DFA905CF8081005014EC5FBC2000000440B0000188088CB2B243C6B79E41415FA5C4219FA7CFA5C2F00000010000000010304000BAF29DBEE
out 85713E862DD39FC6E4AF545DFA905CF8081005014EC5FBC20000004CB1DE3236B0CF84B57415A0FACE4074A0EF42DB9AE7F1FDD4EDA9B40AED93FC907C7602D0D05092ED1FC067C79CD0B4A5
sent IKE msg (INVALID-SPI):

Hier noch ein Auszug aus dem Fortigate-Log:
: trying
matched phase2
autokey
my proposal:
proposal id = 1:
protocol id = IPSEC_ESP:
PFS DH group = 2
trans_id = ESP_AES_CBC (key_len = 128)
encapsulation = ENCAPSULATION_MODE_TUNNEL
type = AUTH_ALG, val=SHA2_256
incoming proposal:
proposal id = 1:
protocol id = IPSEC_ESP:
PFS DH group = 2
trans_id = ESP_AES_CBC (key_len = 128)
encapsulation = UDP_ENCAPSULATION_MODE_TUNNEL_RFC3947
type = AUTH_ALG, val=SHA2_256
negotiation result
proposal id = 1:
protocol id = IPSEC_ESP:
PFS DH group = 2
trans_id = ESP_AES_CBC (key_len = 128)
encapsulation = ENCAPSULATION_MODE_TUNNEL
type = AUTH_ALG, val=SHA2_256
set pfs=MODP1024
using udp tunnel mode.
replay protection enabled
SA life soft seconds=28752.
SA life hard seconds=28800.

Wir werden die Konfiguration jetzt erneut nochmal verändern, aber langsam gehen uns die Ideen aus.
andreas
Beiträge: 109
Registriert: 04 Jan 2005, 00:35

Re: LANCOM <-> FORTIGATE

Beitrag von andreas »

Hallo,

ich habe ein VPN zwischen einer Fortigate 200 und einem Lancom 1781VA ohne Probleme am laufen.

Der Lancom hat die Firmware 10.00.0171. Auf die Fortigate habe ich keinen Zugriff.

Die Meldungen sehen ja eher nach einem VPN-Problem aus, aber: hast Du zur Sicherheit mal den Ping von den Routern selber abgesetzt, nicht das dahinter was nicht stimmt.

VG
Andreas

EDIT: Ich kann gerne nächste Woche mal die Parameter aus dem Lancom zur Verfügung stellen.
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Re: LANCOM <-> FORTIGATE

Beitrag von vitaminc »

Hier auf die Schnelle was ich aus dem LANCOM TRACE ziehen konnte, ich vermute das sind schonmal die ESP Fehler:

-->IPv4 Header
Version : 4
Header Length : 20
ToS/DSCP : (0x00) (Precedence 0) / (DSCP CS0/BE)
Total length : 184
ID : 23768
Fragment : Offset 0
TTL : 55
Protocol : ESP
Checksum : 37154 (wrong, should be 37180)

-->IPv4 Header
Version : 4
Header Length : 20
ToS/DSCP : (0x00) (Precedence 0) / (DSCP CS0/BE)
Total length : 264
ID : 13896
Fragment : Offset 0
TTL : 54
Protocol : ESP
Checksum : 4813 (wrong, should be 4839)

Ich denke hier läuft ne falsche Calculation so dass wir doch nochmal Lifetime bei IKE anpassen sollten?
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Re: LANCOM <-> FORTIGATE

Beitrag von vitaminc »

andreas hat geschrieben:Hallo,

ich habe ein VPN zwischen einer Fortigate 200 und einem Lancom 1781VA ohne Probleme am laufen.

Der Lancom hat die Firmware 10.00.0171. Auf die Fortigate habe ich keinen Zugriff.

Die Meldungen sehen ja eher nach einem VPN-Problem aus, aber: hast Du zur Sicherheit mal den Ping von den Routern selber abgesetzt, nicht das dahinter was nicht stimmt.

VG
Andreas

EDIT: Ich kann gerne nächste Woche mal die Parameter aus dem Lancom zur Verfügung stellen.
Hi Andreas,

wir haben die Verbindung auch schon über Monate ohne Probleme laufen. Dann hatten wir angefangen alles auf SHA256 umzustellen, ich denke hierbei wurden auch die Lifetimes auf der Fortigate-Seite angepaßt, vermutlich auch Firmware-Updates usw.. irgendwann haben dann die "Packet Drops" angefangen, inzwischen soo schlimm dass einige Geräte fast gar nicht mehr erreichbar sind.

Ping wurden auch direkt vom Lancom oder Fortigate abgesetzt. Wenn wir gegenseitig die Public-IP anpingen besteht kein Problem, so dass das Problem ausschließlich im VPN Tunnel zu suchen ist.

Gruß
Sascha
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: LANCOM <-> FORTIGATE

Beitrag von MariusP »

Hi,
Kannst du immernoch bitte den VPN-Packet Trace nachreichen, ich würde gerne sehen ob besagte Packete den Lancom durch den VPN Tunnel verlassen.
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Re: LANCOM <-> FORTIGATE

Beitrag von vitaminc »

Problem wurde vermutlich endlich gefunden.
Man darf auf der Fortigate keine Adressgruppen unter Phase 2 benutzen, sondern muss die Netze einzeln hinzufügen.
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: LANCOM <-> FORTIGATE

Beitrag von MariusP »

Hi,
Gut zu hören. :D
Mit solchen Traces kann man gut überprüfen auf welcher Seite der beiden VPN Gegestellen das Problem besteht. :idea:
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Antworten